Archive for the ‘Sicherheit’ Category

Anonymität / Pseudonymität: was ist das und warum ist es wichtig?

Montag, Juni 24th, 2013

Was ist Anonymität

Unter Anonymität versteht man das Auftreten ohne einen Namen zu nennen. Dabei bleibt die anonyme Person in einer Menge (anonymity set) nicht identifizierbar.

Man unterscheidet zwischen

  • Senderanonymität (Clientanonymität)
  • Empfängeranonymität (Serveranonymität)

Entscheidend ist hier die Verkettbarkeit: man kann keinen Zusammenhang zwischen einer Person und ihren Handlungen, Nachrichten etc. herstellen.

Was ist Pseudonymität

Hier kann man unterscheiden in

  • Personenpseudonym: eine Person verwendet generell ein Pseudonym
  • Rollenpseudonymität: bei Einnahme einer Rolle (z.B. als Angestellter einer Firma)
  • Beziehungspseudonym: bei Kontakt zu einer Person
  • Rollenbeziehungspseudonym: je Rolle und Kontakt zu einer Person
  • Transaktionspseudonym: für jede Transaktion, die man ausführt, verwendet man einen anderen Namen

Je nach verwendetem Pseudonym kann man unterschiedliche hohe Verkettung herstellen: bei Personenpseudonym kann man alle Nachrichten und Aktionen einer Person verfolgen, bei Rollenpseudonym nur die, die er in seiner Rolle ausführt.

Gründe für Anonymität / Pseudonymität

Das Recht auf Privatsphäre ist bereits im Grundgesetz verankert. Viele öffentliche Stellen und Privatfirmen sammeln jedoch viele Daten über uns:

  • Konsumdaten: Was wird gekauft? Wo und wann wird wird gekauft?
  • Finanzdaten: Bonität, Einkommen
  • Aufenthaltsdaten
  • Kommunikationsdaten

Gefährlich ist die Aggregation von Daten, d.h. wenn eine Institution auf viele verschiedene dieser Daten zugreifen kann, dann droht eine Totalüberwachung.

 

Identitätsdaten im Internet

E-Mails enthalten Sender, Empfänger und Nachricht im Klartext (bei unverschlüsselten Mails). Daten wie Absender einer Mail können dabei auch leicht gefälscht werden.

Auch beim Surfen und Chatten hinterlässt man Spuren. Der Server kann u.a.

  • IP-Adresse
  • Datum/Uhrzeit des Aufrufs
  • Seite (URL)
  • referrer (von wo kam der User)
  • Browser, Betriebssystem, Sprache

auswerten. Zusätzlich hinterlegen viele Seiten Cookies auf dem Rechner des Users, um ihn bei einem späteren Besuch wiederzuerkennen.

Fazit: wir hinterlassen im Internet sehr viele Spuren. Wenn diese gesammelt und ausgewertet werden, entstehen User-Profile, die z. B. sehr interessant für die Werbewirtschaft sind.

PGP: technischer Hintergrund

Freitag, Juni 21st, 2013

Verschlüsselung

PGP ist ein sogenannter hybrides Verschlüsselungsverfahren, verwendet also sowohl symmetrische als auch asymmetrische Verschlüsselung.

Die Nachrichten werden mit einem symmetrischen Schlüssel, dem Session Key, verschlüsselt. Der Schlüssel wird dabei von PGP erstellt und verwaltet.

PGP führt bei der Verschlüsselung einer Mail folgende Schritte durch:

  • Die Nachricht N wird per ZIP-Verfahren komprimiert.
  • Der Sitzungsschlüssel (Session Key) wird erstellt.
  • Die Nachricht N wird mit dem Session Key symmetrisch verschlüsselt.
  • Der Session Key wird mit dem öffentlichen Schlüssel (public key) des Empfängers asymmetrisch verschlüsselt.
  • Die verschlüsselte Nachricht N und der verschlüsselte session key werden an den Empfänger gesendet.

Der Empfänger kann mit seinem geheimen Schlüssel (private key) den Session Key entschlüsseln und mit dem session key die Nachricht lesen.

Vorteil dieses Verfahrens ist, dass die Verschlüsselung und Entschlüsselung durch ein symmetrisches Verfahren sehr schnell erfolgt.

Wenn die Nachricht an mehrere Empfänger geht, muss diese nicht erneut bearbeitet werden, sondern nur der session key mit dem öffentlichen Schlüssel des Empfängers neu verschlüsselt werden.

Nachricht digital signieren

PGP bietet die Möglichkeit, die Nachricht digital zu signieren, um sicherzustellen, dass die Nachricht nicht manipuliert wurde.

PGP wendet dazu folgende Schritt an:

  • Eine Hash-Funktion berechnet aus Nachricht N einen Hashwert.
  • Dieser Wert wird mit dem geheimen Schlüssel (private key) des Absenders asymmetrisch verschlüsselt und an die Nachricht angehängt, anschließend noch komprimiert (ZIP).
  • Optional kann die Nachricht verschlüsselt werden (siehe oben).
  • PGP sendet Nachricht und  verschlüsselten Hashwert an den Empfänger

Der Empfänger kann anhand des öffentlichen Schlüssels des Absenders (public key) den Hashwert entschlüsseln.

Mailverschlüsselung in der Praxis: PGP

Freitag, Juni 21st, 2013

Pretty Good Privacy (PGP)

PGP ist eine Software um seine Mails per Public-Key-Verschlüsselung vertraulich zu versenden. Bislang sind keine Schwachstellen in PGP bekannt.
Neben der kommerziellen Version gibt es auch unter dem Namen GnuPG eine kostenlose Variante.

Funktionen von PGP

  • Verschlüsseln von Dateien und E-Mails
  • Vertraulichkeit von E-Mails sichern (Mail durch Verschlüsselung für Fremde unlesbar machen)
  • Authentizität von E-Mails prüfen (ist die Mail wirklich von einem bestimmten Absender)
  • Schlüsselmanagement

PGP einsetzen

Linux-User können sich die Software über die Paketquellen herunterladen. Für Windows gibt es das GPG4Win Projekt.

Aber es geht noch einfacher:

Um PGP direkt im E-Mailprogramm zu nutzen existieren Erweiterungen für viele beliebte Mailprogramme:

Achten Sie beim Herunterladen darauf, ob die Dateien unverändert sind. Sie können das über den Vergleich von Hash-Werten, die auf der Seite angezeigt werden oder den Vergleich des Downloads von mehreren Quellen, wenn dies möglich ist.

Nach der Installation erstellen Sie ein Schlüsselpaar aus geheimen und öffentlichen Schlüssel. Sie haben hier ggf. die Wahl zwischen RSA (insbesondere bei älteren PGP-Versionen) und Diffie-Hellmann Schlüssel.
Achten Sie auf die Schlüssellänge: je länger, desto sicherer. Wählen Sie die größte Schlüssellänge.

Lange Schlüssel erfordern zwar mehr Rechenleistung, allerdings werden die Schlüssel nur selten neu erzeugt. Beim täglichen E-Mailversand werden Sie kaum einen Unterschied merken.

Speichern Sie den geheimen Schlüssel (private key) an einem sicheren Ort und legen Sie Sicherheitskopien der Schlüssel an, die vor Zugriff geschützt sind.
Geben Sie Ihren geheimen Schlüssel nie preis! Stellen Sie diesen insbesondere nicht ins Internet. Sonst kann ggf. jeder unter Ihrem Namen Mails signieren oder für Sie gedachte Mails entschlüsseln.

PGP verschlüsselt den geheimen Schlüssel zusätzlich mit einem Passwort, dass Sie selbst vergeben können. Dieses Passwort müssen Sie immer wieder eingeben. Falls Sie sich lange Passwörter nicht merken können, verwenden Sie eine Software wie KeePass, die Ihre Passwörter sicher verwaltet.

Ihre Kommunikationspartner benötigen den öffentlichen Schlüssel (public key) von Ihnen, um Mails an Sie verschlüsselt zu senden. Sie können diesen veröffentlichen, in dem Sie ihn

  • auf einen Server für öffentliche Keys, z.B. pgp.net stellen.
  • per Mail versenden.
  • auf Ihrer Homepage veröffentlichen.

Umgekehrt erfahren aus Sie auf diesem Weg, welchen öffentlichen Schlüssel Sie für den Mailversand an den Empfänger der Mail verwenden müssen.

Ein einmal erzeugter Schlüssel kann nicht einfach gelöscht werden, Sie müssen diesen zurückziehen (revoke). Die PGP Software erstellt Ihnen ein Widerrufszertifikat, mit dem Sie den alten Schlüssel für ungültig erklären.

Öffentlichen Schlüssel prüfen

Wenn Sie einen neuen öffentlichen Schlüssel aufnehmen stellt sich die Frage, ob dieser wirklich Ihrem Kommunikationspartner gehört.

Sie können ihn anrufen und die Schlüssel vergleichen. Eine Alternative ist die Verwendung eines Vorstellers: jemand der hinreichend vertrauenswürdig und dessen öffentlicher Schlüssel bereits bekannt ist, signiert den Schlüssel des neuen Kommunikationspartners.

Weitere (technische) Informationen, wie PGP Verschlüsselung funktioniert, finden Sie u. a. hier

Warum sollte ich mich als Onlinehändler mit Internetsicherheit befassen?

Freitag, Juni 21st, 2013

In unseren täglichen Praxis werden wir oft nach Hackingangriffen von unseren Kunden um Hilfe gebeten. Leider ist dann der Schaden schon angerichtet, es entstehen Kosten für Shop-Reparatur und Ausfallzeiten. Vieles davon lässt sich im Vorfeld vermeiden, wenn auf einige Grundlagen geachtet wird.

Das Thema Sicherheit wird von vielen Shopbetreibern immer noch vernachlässigt.Viele Händler sind mit ihrem Tagesgeschäft schon so ausgelastet, dass keine Zeit mehr bleibt, sich um das Thema Shop- und Internetsicherheit selbst zu kümmern. Deswegen wollen wir hier eine Übersicht der wichtigsten Themen geben, und Ratschläge für Sicherheit im Internet als auch den sicheren Betrieb eines Onlineshops zusammenstellen.

Kümmern Sie sich im Vorfeld um einen sicheren Shop, Sie sparen sich Zeit und Nerven: meist fällt der Shop gerade dann aus, wenn man es am wenigsten erwartet!

Wir veröffentlichen in den folgenden Tagen einige Grundlagenartikel zu Themen wie E-Mail- und Serversicherheit, um Ihnen eine Hilfestellung zu bieten.
Aus aktuellem Anlass starten wir mit einer Kurzübersicht, wie man seine E-Mails verschlüsseln kann.

E-Mail Verschlüsselung in der Praxis

 

Immer noch Sicherheitslücken in Java

Donnerstag, März 7th, 2013

Oracle schaffe es auch nach mehreren Updates immer noch nicht, die Sicherheitslücken in Java zu schliessen.

Wie bekannt wurde sind einige Lücken seit Anfang Februar bei Oracle bekannt, wurden aber wegen des Updatezyklus zurückgehalten.

Sicherheitsexperten finden weiterhin immer neue Lücken in Java.

Wer also Java nicht unbedingt braucht sollte es zumindest im Browser deinstallieren (wenn nicht gleich komplett vom Rechner entfernen).

 

VOR dem Start der Java-Anwendung sollten Sie unbedingt die Zertifikatinformationen lesen. Auch ein digital zertifiziertes Java-Programm Malware,

wie gerade ein Fall an der TU Chemnitz zeigt

 

Sicherheitslücke in xt-Commerce 3.04 und Forks (Gambio GX, xtc-modified)

Freitag, Juni 15th, 2012

Am 12.6.2012 wurde eine bislang unbekannte Sicherheitslücke in xt-Commerce und allen Forks veröffentlicht. Auf xtc-load werden Patches bereitgestellt, die allerdings auf Standardinstallationen zugeschnitten sind.

Um Ihnen die Installation bei geänderten Shops zu erleichtern stellen wir hier einen Versionsvergleich für Gambio GX2 und xt-Commerce 3.04 SP2.1 zur Verfügung.
Damit sehen Sie sehr leicht, welche Änderungen durch den Sicherheitspatch durchgeführt wurden. Die rot markierten Stellen kennzeichnen die Unterschiede zwischen den Versionen.

Im Vergleich ist jeweils application_top.php die alte Datei ohne Sicherheisupdate, die Datei application_top_security.php die Datei mit dem Sicherheitsfix.

Security Update Gambio GX2 12.06.2012
Security Update xt-commerce 3.04 SP2.1 12.06.2012

Downloads unter Windows verifizieren

Mittwoch, August 3rd, 2011

Viele Entwickler von kostenloser Software bieten Hashwerte an, damit der Benutzer prüfen kann, ob die heruntergeladene Version auf unbefugte Änderungen zu prüfen.
Ein Beispiel ist KeePass:
http://keepass.info/integrity.html

Unter Windows hat man leider nach der Installation des Betriebssystems kein Tool zur Hand, um Downloads auf Echtheit zu verifizieren.

Microsoft bietet ein Kommandozeilentool an, das diese Funktion nachrüstet (“File Checksum Integrity Verifier”)

http://support.microsoft.com/kb/841290/de


http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/windows-kb841290-x86-enu.exe

Deutlich komfortabler geht es allerdings mit der Software Hashtab. Diese erweitert das Eigenschaften-Menü einer Datei um einen Tab für Hashwerte
http://www.heise.de/software/download/hashtab/30191

 

Wie sicher ist SSL wirklich?

Donnerstag, Juli 29th, 2010

SSL (Secure Socket Layer) wurde Mitte der Neunziger Jahre von Netscape entwickelt, um sichere und authentische Internetverbindungen zu ermöglichen.

Viele Webuser verbinden seitdem den Begriff SSL automatisch mit Sicherheit. Das Schloßsymbol im Browser bzw. die grüne Adressleiste, so die gängige Meinung, soll automatisch für eine sichere Verbindung mit einem anderen Server sorgen. Angreifer, die sich dazwischenschalten wollen (Man-in-the-Middle), um Daten, Passwörter etc. abzufangen, sollen durch die Zertifikatsprüfung bei den Zertifizierungsstellen, den sogenannten “Certificate Authorities” (CAs, z.B. Thawte, Verisign usw.), ausgeschaltet werden. Die CAs garantieren, dass das verwendete SSL-Zertifikat authentisch ist.

Aber wie sicher ist SSL wirklich?

Heise griff das Thema in diesem Artikel auf. Schwachpunkt des Verfahrens sind u.a. die Zertifizierungsstellen, auf deren Vertrauenswürdigkeit das ganze System aufbaut. Die CAs prüfen vor Ausstellung, ob das Zertifikat auch zu dem entsprechenden User gehört. Von CAs geprüfte SSL-Zertifikate werden beim Aufruf des Servers dann als “sicher” angezeigt, solange der überprüfte Servername verwendet wird, das Zertifikat gültig und noch nicht abgelaufen ist.

Woher weiß der Browser aber, welchem CA zu vertrauen ist?

Dazu sind sogenannte Root-Zertifikate in allen Browsern bereits vorhanden, die bestimmte CAs vertrauenswürdig erscheinen lassen. Jemand der den privaten Schlüssel dieser CAs vorliegen hätte, könnte beliebige SSL-Zertifikate herausbringen, die dann allgemein als “sicher” angezeigt werden.

Viele dieser CAs sind in den USA beheimatet. Es besteht Grund zu der Befürchtung, dass Regierungsstellen die CAs zwingen könnten, mit Ihnen zusammenzuarbeiten, um verschlüsselte Verbindungen abhören zu können. Einige Firmen bieten diese Dienste bereits auch offiziell an.

Es bestehen aber weitere Gefahren. Moderne Browser zeigen zwar an, wenn die Authentizität eines Zertifikats nicht überprüft werden kann, viele User lassen sich aber dadurch nicht abschrecken. Dadurch kann auch ein nicht vertrauenswürdiger Server vom User als sicher eingestuft werden.

Noch gefährlicher ist eine dritte Variante: Gelingt es einem Angreifer, ein Herausgeberzertifikat zu fälschen, kann er beliebige Zertifikate ausstellen. Bereits 2008 wurden Schwachstellen in den Verschlüsselungsverfahren aufgedeckt. Selbst das Fälschen ist aber nicht unbedingt nötig: CAs können andere Stellen als CAs zertifizieren. Der User hat kaum Möglichkeiten, die gefälschten Zertifikate und die nicht vertrauenswürdigen CAs zu erkennen.

Fazit: Absolute Sicherheit gibt es im Internet nicht. Tools wie dieses AddOn, das die Zertifizierer überprüft, können die Sicherheit verbessern. Meist hilft nur eine gesunde Portion Misstrauen. Jeder User muss selbst abwägen, ob er einer Internetseite trauen will oder nicht.